Unternehmen schützen sich zu wenig Obwohl mögliche Angriffsszenarien längst bekannt sind, nehmen Unternehmen die von Cyberangriffen ausgehende Gefahr zu oft auf die leichte Schulter, meint A.T. Kearney.
Wien. Die Hersteller von Cybersecurity-Lösungen werden nicht müde, vor neuen und ausgefeilten Angriffen aus dem Netz zu warnen – trotzdem unterschätzen Unternehmen konsequent die Gefahr, die von solchen Attacken ausgeht. Das geht aus einer aktuellen Studie des Marktforschers A.T. Kearney hervor. Die Schätzungen einschlägiger Institutionen zum weltweiten Schaden liegen zwischen 400 Milliarden und 2,2 Billionen US-Dollar (ca. 360,1 Milliarden bis 1,98 Billionen €). Hinzu kommen Imageschäden und Vertrauensverluste. In Zukunft werden die Frequenz und das Ausmaß an Cyberattacken weiter ansteigen. Um Risiken zu minimieren, empfiehlt es sich, die Informationssicherheit ganzheitlich in fünf Dimensionen zu adressieren: Strategie, Organisation, Prozesse, Technologie und Kultur.
„Zunächst einmal müssen Unternehmen verstehen, dass Informationssicherheitsrisiken Geschäftsrisiken sind. Die Verantwortung für das Management dieser Risiken liegt bei der Unternehmensführung, nicht bei der IT-Abteilung oder dem CIO”, kommentiert Michael Römer, Partner bei A.T. Kearney und Leiter des Beratungsbereichs Digital Business in Europa.
Teure Konsequenzen
Die Methoden der Attacken auf die Informationssicherheit verändern sich rasant, während das Risiko und die Folgekosten ungenügender Sicherheitsmaßnahmen weiter steigen. „Der nächste Cyberangriff ist ebenso schwer vorherzusagen wie das nächste Erdbeben, allerdings zeichnen sich einige Trends ab. Die geschätzten Kosten erfolgreicher Angriffe liegen jährlich weltweit zwischen 400 Milliarden und 2,2 Billionen US-Dollar. Das entspricht etwa dem Bruttoinlandsprodukt von Österreich bzw. Brasilien, wobei langfristige Folgen wie Imageschäden durch den Vertrauensverlust kaum angemessen berücksichtigt werden können”, sagt Boris Piwinger, Senior Manager und Leiter des Beratungsbereichs Informations-sicherheit bei A.T. Kearney.
Mit der zunehmenden Digitalisierung und den damit einhergehenden, unvermeidlichen Sicherheitsverletzungen werden auch das Ausmaß und die Frequenz der Attacken steigen. Piwinger sieht vor allem die folgenden Trends: globale Überwachung, gezielte Schwächung von Informationssicherheitstechnologie, Attack-as-a-Service-Angebote (AaaS), massive Angriffe auf Infrastrukturen und industrielle Steuerungssysteme. Auch Erpressung ist ein mögliches Geschäftsmodell der Angreifer; sie drohen damit, einen zuvor glaubhaft gemachten Schaden massiv in die Höhe zu treiben, bis das „Lösegeld” bezahlt ist – eine Methode, die immer häufiger wird.
Lange Rekonvaleszenz
Viele Unternehmen agieren zu langsam, um mit der rasanten Entwicklung der Angriffe Schritt zu halten. „Wenn Kriminelle erst einmal die Systeme eines Unternehmens infiziert haben, kann es Monate dauern, die Kontrolle zurückzugewinnen”, sagt Piwinger. „Nach Schätzungen dauert es im Durchschnitt 243 Tage, bis ein Angriff entdeckt wird. So haben die Hacker viel Zeit, um sich nach interessanten Daten umzusehen und das gesamte Unternehmen flächendeckend zu infiltrieren.” So veröffentlichte das deutsche Bundesamt für Sicherheit in der Informationstechnik (BSI) unlängst den Fall eines deutschen Stahlwerks, bei dem ein digitaler Cyber-Angriff zu erheblichen physischen Schäden an einem Hochofen führte.
Die Studie von A.T. Kearney zeigt, dass Unternehmen, die vorbildlich in der Informationssicherheit sind, immer wieder fünf Bereiche adressieren, um Risiken zu minimieren: Strategie, Organisation, Prozesse, Technologie und Kultur. „Sicherheitsprobleme sind selten auf Fehler in nur einem dieser Bereiche zurückzuführen. Erfolgreiche Hacker nutzen typischerweise eine Kombination unterschiedlicher Schwachstellen”, sagt Piwinger.